A guerra entre os hackers também chegou à equipe Phorpiex

Uma entidade misteriosa parece ter assumido a infraestrutura do botnet Phorpiex e remove software indesejado malicioso dos hosts infectados enquanto exibe uma janela pop-up solicitando aos usuários que instalem um antivírus e atualizem seus computadores.

phorpiex-botnet

Janelas emergentes começaram a aparecer nas telas dos usuários esta manhã e foram identificadas pela equipe de pesquisa da Check Point.

Inicialmente, muitos analistas consideraram isso uma farsa incorporada ao malware pela equipe da Phorpiex para enganar os pesquisadores de segurança que analisam o malware.

No entanto, com o passar das horas, ficou claro que isso estava realmente acontecendo nos sistemas do cliente e não era apenas uma janela pop-up aparecendo em máquinas virtuais usadas como caixas de proteção para análise de malware.

“É um evento real”, disse Yaniv Balmas, chefe da Cyber ​​Research da Checkber. “Estamos monitorando de perto esse grupo de programas maliciosos e percebemos que esse comportamento começou há apenas algumas horas”.

Balmas fez várias teorias sobre o que está acontecendo – como o fato de os usuários de malware terem decidido parar e fechar a botnet em seus próprios termos, ou que isso se deva a uma ação de aplicação da lei ou que um pesquisador a segurança tomou conta de suas próprias mãos ou uma equipe de malware adversária queria minar a equipe do Phorpiex destruindo a botnet.

Grande possibilidade sequestro

“A possibilidade de um seqüestro parece provável se confiarmos nas gravações de hackers da Phorpiex”, disse o segundo analista de malware, que se recusou a ser identificado no artigo porque não estava autorizado a falar sobre o assunto. A companhia dele.

“O Phorpiex tem muitos oponentes difíceis no jogo de botnets, então eu não ficaria surpreso se for um ataque causado por ciúmes ou algo assim”, acrescentou.

“O hacker de botnet de Phorpiex é extremamente preguiçoso e descuidado”, disse o analista de malware, alegando que ele podia entender botnet no passado por causa do mecanismo simplificado de comando e controle baseado em IRC.

O mesmo botnet sofreu violação de dados em 2018

O malware Phorpiex, ativo por mais de uma década, foi comprometido no passado devido ao descuido dos desenvolvedores de malware.

Em 2018, o desenvolvedor de botnet Phorpiex deixou um dos servidores de comando e controle expostos à Internet, e os pesquisadores de segurança conseguiram recuperar uma lista de 43,5 milhões de endereços de email direcionados pela equipe do Phorpiex com campanhas indesejadas.

O Phorpiex é um dos botnets de spam mais ativos atualmente. A equipe do Phorpiex trabalha infectando computadores Windows e usando-os como bots de spam para promover campanhas de email em massa.

Essas campanhas de spam mantêm o botnet de spam ativo, infectando novos computadores com o Phorpiex, mas também enviam campanhas de spam personalizadas em nome de outros grupos de crimes cibernéticos – e é assim que a Phorpie ganha dinheiro.

Quem procedeu com o sequestro de botnets hoje e ordenou a desinstalação dos bots, causou um golpe significativo nos lucros e atividades futuros da gangue de Phorpiex. Para ter uma idéia do tamanho dos lucros perdidos pela equipe Phorpiex, a Check Point relatou que a mesma botnet atingiu US $ 115.000 em cinco meses apenas com e-mails de spam.